制度流程：组织未在任何业务建立成熟稳定的数据分类分级，仅根据临时需求或基于个人经验，对 部分数据进行了分类或分级(BP.01.01)。

a) 组织建设：应由业务团队相关人员负责相关业务的数据分类分级(BP.01.02);

b) 制度流程：应根据业务特性和外部合规要求，对核心业务的关键数据进行分类分级管理 (BP.01.03)。

a) 组织建设：组织应设立负责数据安全分类分级工作的管理岗位和人员，主要负责定义组织整体的数据分类分级的安全原则(BP.01.04)。

b) 制度流程：

c) 技术工具：应建立数据分类分级打标或数据资产管理工具，实现对数据的分类分级自动标识、 标识结果发布、审核等功能(BP.01.09)。

d) 人员能力：负责该项工作的人员应了解数据分类分级的合规要求，能够识别哪些数据属于敏感 数据(BP.01.10)。

技术工具：

a) 制度流程：应定期评审数据分类分级的规范和细则，考虑其内容是否完全覆盖了当前的业务，并执行持续的改进优化工作(BP.01.13);

b) 技术工具：

1) 应跟踪数据分类分级标识效果，持续改进数据分类分级的技术工具(BP.01.14);

2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.01.15)。

制度流程：未在任何业务建立成熟稳定的数据采集安全管理，仅根据临时需求或基于个人经验对个 别数据采集进行安全管理(BP.02.01)。

a) 组织建设：应由业务团队相关人员负责数据采集安全管理(BP.02.02)。

b) 制度流程：

a) 组织建设：组织应设立数据采集安全管理的岗位和人员，负责制定相关的数据采集安全管理的制度，推动相关要求、流程的落地，并对具体业务或项目的风险评估提供咨询和支持(BP.02.05)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责该项工作的人员应能够充分理解数据采集的法律要求、安全和业务需求，并能 够根据组织的业务提出针对性的解决方案(BP.02.14)。

1) 应采取必要的技术手段对采集的数据进行校验(BP.02.16);

2) 应跟踪和记录数据采集和获取过程，支持对数据采集和获取操作过程的可追溯(BP.02.17)。

1) 应根据制度流程的更新，不断升级优化数据采集工具(BP.02.19);

2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.02.20)。

组织建设：未对任何业务的采集数据源进行有效管理，仅根据临时需求或基于个人经验对采集的数 据源进行临时记录(BP.03.01)。

a) 组织建设：应由业务团队相关人员负责数据源鉴别和记录(BP.03.02);

b) 制度流程：核心业务系统的在线数据采集和外部第三方采集，均应建立了相应机制执行数据源 的鉴别和记录(BP.03.03);

c) 技术工具：核心业务应具有技术工具支持对数据源的鉴别和记录(BP.03.04)。

1) 组织应采取技术手段对外部收集的数据和数据源进行识别和记录(BP.03.07);

2) 应对关键追溯数据进行备份，并采取技术手段对追溯数据进行安全保护(BP.03.08)。

1) 组织应定义了数据追溯策略要求、追溯数据格式、追溯数据安全存储与使用的管理制度 等。根据组织内的业务梳理数据源的类型，并明确在关键的数据管理系统(如数据库管理 系统、元数据管理系统)上对数据源类型标记的要求(BP.03.10);

2) 应明确基于追溯数据的数据业务与法律法规合规性审核的机制，并依据审核结果增强或 改进与数据服务相关的访问控制与合规性保障机制和策略(BP.03.11)。

1) 应面向制度流程的更新，持续改进工具在数据鉴别、记录和追溯等方面的服务能力(BP.03.14); 2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.03.15)。

组织建设：未在任何业务建立成熟稳定的数据质量管理或监控，仅根据临时需求或基于个人经验考 虑数据质量管理(BP.04.01)。

a) 组织建设：应由业务团队相关人员根据业务需求进行数据质量管理(BP.04.02)。 b) 制度流程：在核心业务中应将数据质量管理或监控作为必要的环节(BP.04.03)。

1) 应明确数据质量管理相关的要求，包含数据格式要求、数据完整性要求、数据源质量评价 标准等(BP.04.05);

2) 应明确数据采集过程中质量监控规则，明确数据质量监控范围及监控方式(BP.04.06);

3) 应明确组织的数据清洗、转换和加载操作相关的安全管理规范，明确执行的规则和方法、 相关人员权限、完整性和一致性要求等(BP.04.07)。

a) 应明确数据质量分级标准，明确不同级别和类型的数据采集、清洗、转换等数据采集处理流程 质量要求(BP.04.10);

b) 应定期对数据质量进行分析、预判和盘点，明确数据质量问题定位和修复时间要求(BP.04.11)。

1) 应建立数据质量的技术指标，并通过相关管理系统评估数据质量管理的水平(BP.04.13); 2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.04.14)。

组织建设：未在任何业务中建立成熟稳定的数据传输安全和密钥管理机制，仅根据个别业务需求、 合规要求，对传输通道、传输节点或数据采用了临时的加密保护措施(BP.05.01)。

a) 组织建设：应由业务团队相关人员负责对传输通道进行加密处理(BP.05.02)。

b) 制度流程：应根据合规要求和业务性能的需求，核心业务明确业务中需要加密传输的数据范围 和加密算法(BP.05.03)。

c) 技术工具：

a) 组织建设：组织应设立了管理数据加密、密钥管理的人员，负责整体的加密原则和技术工作，由各业务的技术团队负责实现具体场景下的数据传输加密(BP.05.06)。

b) 制度流程：

c) 技术工具：

d) 人员能力：

a) 制度流程：应在数据分类分级定义的基础上，明确提出对不同类型、级别的数据的加密传输要求，包含对数据加密算法的要求和密钥的管理要求(BP.05.13)。

b) 技术工具：

技术工具：

组织建设：未在任何业务建立网络可用性管理，仅根据临时需求或基于个人经验对网络冗余建设进 行规划(BP.06.01)。

a) 组织建设：应有负责网络的可用性管理的人员(BP.06.02);

b) 制度流程：应在网络安全管理的制度中明确关键网络链路、网络(安全)设备的可用性管理要 求，关键业务的网络架构应考虑网络的可用性建设需求(BP.06.03)。

a) 组织建设：组织应设立负责网络可用性管理的人员或团队(BP.06.04)。

b) 制度流程：应制定组织的网络可用性管理指标，包括可用性的概率数值、故障时间/频率/统计 业务单元等；基于可用性管理指标，建立网络服务配置方案和宕机替代方案等(BP.06.05)。

c) 技术工具：

d) 人员能力：负责该项工作的人员应具有网络安全管理的能力，了解网络安全中对可用性的安全 需求，能够根据不同业务对网络性能需求制定有效的可用性安全防护方案(BP.06.08)。

技术工具：应通过相关指标定量分析网络可用性及数据防泄漏服务现状，并有针对性地解决问题， 提升网络可用性(BP.06.09)。

技术工具：

组织建设：未建立成熟稳定的存储媒体安全管理，仅根据临时需求或基于个人经验处理了存储媒体 安全需求(BP.07.01)。

a) 组织建设：应由业务团队相关人员根据实际业务需求负责执行存储媒体安全管理工作(BP.07.02)。

b) 制度流程：业务团队应明确存储媒体使用、购买、标记的安全制度(BP.07.03)。

c) 人员能力：业务团队中负责相关工作的人员，应熟悉存储媒体安全管理的相关制度要求 (BP.07.04)。

a) 组织建设：组织应设立统一负责存储媒体安全管理的岗位和人员(BP.07.05)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责该项工作的人员应熟悉存储媒体安全管理的相关合规要求，熟悉不同存储媒体 访问和使用的差异性(BP.07.12)。

技术工具：应建立存储媒体管理系统，确保存储媒体的使用和传递过程得到严密跟踪(BP.07.13)。

技术工具：

组织建设：未在任何业务中建立数据逻辑存储环境安全管理，仅根据临时需求或基于个人经验考虑 了个别数据逻辑存储系统的安全管理(BP.08.01)。

a) 组织建设：应由业务团队相关人员负责相关数据逻辑存储系统(如数据库)的安全管理(BP.08.02)。

b) 技术工具：应采取技术工具支撑逻辑存储系统的安全管理，如配置扫描、身份鉴别、访问控制等 (BP.08.03)。

a) 组织建设：

b) 制度流程：

c) 技术工具：

d) 人员能力：负责该项工作的人员应熟悉数据存储系统架构，并能够分析出数据存储面临的安全 风险，从而能够保证对各类存储系统的有效安全防护(BP.08.12)。

a) 制度流程：

b) 技术工具：

c) 人员能力：负责数据加密工作的人员应熟悉各类数据加密算法的性能和瓶颈，并能够基于业务 发展的需求、合规的需求制定有效的数据加密方案(BP.08.19)。

a) 制度流程：应定期审核数据库的安全配置情况和权限分配情况，并改进优化相关配置和角色权 限包的内容(BP.08.20)。

b) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.08.21)。

组织建设：未在任何业务中建立成熟稳定的数据备份恢复机制，仅根据临时需求或基于个人经验对 部分数据执行了临时的数据备份和恢复性测试(BP.09.01)。

a) 组织建设：业务团队应明确负责数据备份和恢复的岗位和人员(BP.09.02)。

b) 制度流程：业务团队应明确数据备份和恢复的制度(BP.09.03)。

c) 技术工具：应建立数据备份与恢复的技术工具(BP.09.04)。

a) 组织建设：组织应明确负责组织统一的数据备份和恢复管理工作的岗位和人员，负责建立相应的制度流程并部署相关的安全措施(BP.09.05)。

b) 制度流程：

c) 技术工具：

d) 人员能力：

a) 制度流程：

b) 技术工具：

a) 制度流程：应密切关注国内外数据备份和恢复的优秀解决方案，适当地采纳并用于组织内部的 数据备份和恢复工作(BP.09.31)。

b) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.09.32)。

组织建设：未在任何业务中建立数据脱敏的制度，仅根据临时需求或基于个人经验，在数据使用的 过程中对某些数据字段执行了脱敏处理(BP.10.01)。

a) 组织建设：应由业务团队相关人员负责数据脱敏工作(BP.10.02)。

b) 人员能力：负责该项工作的人员应了解数据脱敏的常用技术，并能够基于数据脱敏的具体场景 保证业务和安全之间的需求平衡(BP.10.03)。

c) 制度流程：在核心业务中，应对业务中涉及的数据脱敏需求进行分析，明确脱敏的流程和方法 (BP.10.04)。

d) 技术工具：应通过一定的技术工具(如敏感字段屏蔽等方式),实现对核心业务的数据脱敏 (BP.10.05)。

a) 组织建设：

b) 制度流程：

c) 技术工具：

d) 人员能力：

a) 制度流程：

b) 技术工具：

c) 人员能力：应定期对数据脱敏工作人员的脱敏操作能力进行考核评估(BP.10.21)。

技术工具：

组织建设：未在任何业务中开展数据分析的安全风险控制，仅根据临时需求或基于个人经验在个别 业务中考虑了数据分析的安全风险(BP.11.01)。

a) 组织建设：应由业务团队相关人员负责数据分析过程中的数据安全风险控制(BP.11.02)。

b) 制度流程：

a) 组织建设：组织应设立负责数据分析安全的岗位和人员，负责整体的数据分析安全原则制定、提供相应技术支持(BP.11.05)。

b) 制度流程：

c) 技术工具：

d) 人员能力：应能够基于合规性要求、相关标准对数据安全分析中所可能引发的数据聚合的安全 风险进行有效的评估，并能够针对分析场景提出有效的解决方案(BP.11.13)。

技术工具：

a) 制度流程：应跟踪新业务需求、国内外法律法规变化和技术发展变化，持续调整和改进数据分 析安全管理效果(如改进数据分析的个人隐私保护方案)(BP.11.19)。

b) 人员能力：负责该项工作的人员应具备对数据分析的安全技术，能够及时跟进先进的最佳实践 以保证对相关技术的合理应用(BP.11.20)。

c) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.11.21)。

组织建设：未在业务中建立数据合规评估机制，仅根据临时需求或基于个人经验在个别业务系统中 根据常识、法律法规或合同协议等要求关注了对数据的正当使用需求(BP.12.01)。

a) 组织建设：应由业务团队相关人员负责数据使用的合规性评估(BP.12.02)。

b) 制度流程：核心业务应明确数据使用正当性的制度，保证数据使用在声明的目的和范围内 (BP.12.03)。

a) 组织建设：组织应设立相关岗位或人员，负责对数据正当使用管理、评估和风险控制(BP.12.04)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责该项工作的人员应能够按最小够用等原则管理权限，并具备对数据正当使用的 相关风险的分析和跟进能力(BP.12.09)。

a) 制度流程：应具备违约责任、缔约过失责任、侵权责任等数据使用风险分析和处理能力(BP.12.10)。

b) 技术工具：应具备技术手段或机制，对数据滥用行为进行有效的识别、监控和预警(BP.12.11)。

c) 人员能力：负责该项工作的人员应具备发现数据不正当使用安全风险的能力(BP.12.12)。

技术工具：

组织建设：未在任何业务开展成熟稳定的数据处理环境安全，仅根据临时需求或基于个人经验在部 分业务系统中关注数据处理环境安全(BP.13.01)。

a) 组织建设：应由业务团队相关人员负责数据处理环境安全管理(BP.13.02)。

b) 技术工具：核心业务的数据处理环境，应实现了身份鉴别、访问控制、安全配置等(BP.13.03)。

a) 组织建设：应由业务团队相关人员负责数据处理环境安全管控(BP.13.04)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责该项工作的人员应了解在数据环境下的数据处理系统的主要安全风险，并能够在 相关的系统设计、开发阶段通过合理的设计以及运维阶段的有效配置规避相关风险(BP.13.12)。

a) 制度流程：应针对用户在数据处理系统上对数据的操作开展定期审计，确定用户对数据的加工未超出前期申请数据时的目的(BP.13.13)。

b) 技术工具：

a) 制度流程：相关人员应能对用户在数据处理系统上的操作执行实时监控，能够及时跟进风险并 采取有效的风险控制措施(BP.13.20)。

b) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.13.21)。

组织建设：未在任何业务开展成熟稳定的数据导入导出安全风险管控，仅根据临时需求或基于个人 经验考虑了个别系统的数据导入导出安全需求(BP.14.01)。

a) 组织建设：应由业务团队相关人员负责对数据导入导出执行安全管理(BP.14.02)。 b) 制度流程：应明确核心业务数据导入导出安全制度或审批流程(BP.14.03)。

c) 人员能力：负责数据导入导出的人员应具备对数据导入导出业务的理解能力，掌握数据导入导 出规程，并能够针对具体场景提出有效的解决方案(BP.14.04)。

d) 技术工具：应记录组织内部的数据导入导出行为，确保数据导入导出行为追溯(BP.14.05)。

a) 组织建设：组织应设立统一的数据导入导出安全管理岗位和人员，负责制定规则和提供技术能力，并推动在组织内业务落地执行(BP.14.06)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责数据导入导出安全工作的人员应能够充分理解组织的数据导入导出规程，并根 据数据导入导出的业务执行相应的风险评估，从而提出实际的解决方案(BP.14.14)。

技术工具：

a) 制度流程：组织应及时跟进业务相关的法律法规的更新和产业内的优秀做法，定期评估导入导 出服务组件和导入导出通道的安全性，对数据导入导出的风险控制方案进行持续的优化调整 (BP.14.20).

b) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.14.21)。

组织建设：未在任何业务建立成熟稳定的数据共享安全风险管控，仅根据临时需求或基于个人经验 对个别数据共享场景考虑了安全需求(BP.15.01)。

a) 组织建设：应由业务团队相关人员负责对数据共享方案进行安全风险管控(BP.15.02)。

b) 制度流程：应明确核心业务数据共享安全评估机制，可从共享目的合理性、共享数据的范围和 合规性、共享方式的安全性、共享后管理责任和约束措施等方面进行评估(BP.15.03)。

c) 人员能力：负责数据共享安全的人员应具备对数据共享业务的理解能力，能够结合合规性要求 给出适当的安全解决方案(BP.15.04)。

a) 组织建设：组织应设立了统一的数据共享交换安全管理的岗位和人员，负责相关原则和技术能 力的提供，并推广相关要求在相关业务的落地执行(BP.15.05)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责该项工作的人员应能够充分理解组织的数据共享规程，并根据数据共享的业务 执行相应的风险评估，从而提出实际的解决方案(BP.15.13)。

a) 制度流程：

b) 技术工具：

a) 制度流程：组织应及时跟进业务相关法律法规的更新和产业内的优秀做法，定期评估数据共享 机制、服务组件和共享通道的安全性，对数据共享的风险控制方案进行持续的优化调整 (BP.15.19)。

b) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.15.20)。

组织建设：未在任何业务建立成熟稳定的数据发布安全管理，仅根据临时需求或基于个人经验在个 别场景考虑了数据发布安全风险(BP.16.01)。

a) 组织建设：应由业务团队相关人员负责数据发布的安全风险控制(BP.16.02)。

b) 制度流程：应明确核心业务数据公开发布的安全制度和审核流程(BP.16.03)。

c) 人员能力：负责数据发布安全工作的人员应基本理解数据发布安全的制度要求(BP.16.04)。

a) 组织建设：组织应设立相关岗位人员，负责组织的数据公开发布信息，并且对数据发布人员进 行安全培训(BP.16.05)。

b) 制度流程：

c) 技术工具：应建立数据发布系统，实现公开数据登记、用户注册等发布数据和发布组件的验证 机制(BP.16.10)。

d) 人员能力：负责数据发布安全管理工作的人员应充分理解数据安全发布的制度和流程，通过了 岗位能力评估，并能够根据实际发布要求建立相应的应急方案(BP.16.11)。

a) 制度流程：

b) 技术工具：组织应建立统一的数据发布系统，提示数据发布安全风险并进行在线审核(BP.16.14)。

a) 应对发布的数据，建立持续的追踪能力，优化数据发布规程(BP.16.15);

b) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.16.16)。

组织建设：未在任何业务或系统中建立成熟稳定的数据接口安全管理，仅根据临时需求或基于个人 经验在个别业务中关注了数据接口安全(BP.17.01)。

1) 应明确数据接口安全控制策略，明确规定使用数据接口的安全限制和安全控制措施，如身 份鉴别、访问控制、授权策略、签名、时间戳、安全协议等(BP.17.07);

2) 应明确数据接口安全要求，包括接口名称、接口参数等(BP.17.08);

3) 应与数据接口调用方签署了合作协议，明确数据的使用目的、供应方式、保密约定、数据安全责任等(BP.17.09)。

1) 应具备对接口不安全输入参数进行限制或过滤能力，为接口提供异常处理能力(BP.17.10);

2) 应具备数据接口访问的审计能力，并能为数据安全审计提供可配置的数据服务接口 (BP.17.11);

3) 应对跨安全域间的数据接口调用采用安全通道、加密传输、时间戳等安全措施(BP.17.12)。

组织建设：未在任何业务建立成熟稳定的数据销毁处置，仅根据临时需求或基于个人经验在个别场 景考虑了数据销毁的流程和方法(BP.18.01)。

a) 组织建设：应由业务团队相关人员负责数据销毁工作(BP.18.02)。

b) 制度流程：应明确核心业务数据销毁方案和存储媒体销毁方案(BP.18.03)。

c) 技术工具：应采用技术工具对核心业务存储媒体的数据内容进行擦除销毁(BP.18.04)。

d) 人员能力：负责数据销毁处置的人员应具备针对数据销毁的需求制定对应的数据销毁方案的 能力(BP.18.05)。

a) 组织建设：组织应设立统一负责数据销毁管理的岗位和人员，负责制定数据销毁处置规范，并推动相关要求在业务部门落地实施(BP.18.06)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责数据销毁安全工作的人员应熟悉数据销毁的相关合规要求，能够主动根据政策 变化和技术发展更新相关知识和技能(BP.18.12)。

a) 制度流程：

b) 技术工具：

a) 制度流程：应定期审核数据存储时长的情况，考虑数据存储成本的需求、法律法规和更新合同的需求，以及相关数据销毁技术的发展现状，对数据销毁的整体方案进行及时更新(BP.18.17)。

b) 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.18.18)。

组织建设：未在任何业务建立成熟稳定的存储媒体销毁管理，仅根据临时需求或基于个人经验考虑 了对个别存储媒体进行安全销毁(BP.19.01)。

a) 组织建设：应由业务团队相关人员负责存储媒体销毁管理(BP.19.02)。

b) 制度流程：应明确核心业务媒体销毁的流程和管理要求(BP.19.03)。

c) 技术工具：核心业务的存储媒体，应仅采用物理销毁的形式进行销毁(BP.19.04)。

d) 人员能力：相关人员应具备针对数据销毁需求能够明确判断媒体销毁的必要性(BP.19.05)。

a) 组织建设：组织应设立统一负责媒体销毁管理的岗位和人员，整体制定组织媒体销毁管理的制度，并推动相关内容在业务团队实施落地(BP.19.06)。

b) 制度流程：

c) 技术工具：

d) 人员能力：负责该项工作的人员应能够依据数据销毁的整体需求明确应使用的媒体销毁工具(BP.19.12)。

a) 制度流程：

b) 技术工具：应由经过认证的机构或设备对存储媒体进行物理销毁，或联系经认证的销毁服务商 进行存储媒体销毁工作(BP.19.15)。

a) 制度流程：应不断根据组织的存储媒体销毁需求优化存储媒体销毁的流程以及方案(BP.19.16)。

b) 技术工具：

1) 应明确符合组织数据战略规划的数据安全总体策略，明确安全方针、安全目标和安全原则 (BP.20.06);

2) 应基于组织的数据安全总体策略，在组织层面明确以数据为核心的数据安全制度和规程， 覆盖数据生存周期相关的业务、系统和应用，内容包含目的、范围、岗位、责任、管理层承 诺、内外部协调机制及合规目标等(BP.20.07);

3) 应明确并实施大数据系统和数据应用安全实施细则(BP.20.08);

4) 应明确数据安全制度规程分发机制，将数据安全策略、制度和规程分发至组织相关部门、 岗位和人员(BP.20.09);

5) 应明确数据安全制度及规程的评审、发布流程，并确定适当的频率和时机对制度和规程进 行审核和更新(BP.20.10);

6) 应明确组织层面的数据安全战略规划，包括各阶段目标、任务、工作重点，并保障其与业务 规划相适应(BP.20.11)。

1) 负责制定数据安全总体策略和战略规划的人员应了解组织的业务发展目标，能够将数据 安全工作的目标和业务发展的目标进行有机结合(BP.20.13);

2) 负责制定数据安全制度和规程的人员应具备信息安全管理体系建设的知识，并具备良好 的规范撰写能力(BP.20.14);

3) 负责推广数据安全策略规划的人员应能够以员工和相关方易理解的方式，通过培训等宣 导形式对数据安全管理的方针、策略和制度进行有效传达(BP.20.15)。

1) 在组织架构发生重大调整或数据服务业务发生重大变化时，应及时评估数据安全制度与 规程的实施效果，并将效果反映到安全制度和规程文件的修订过程中(BP.20.16);

2) 应对数据安全制度和规程进行体系化的评估，制定数据安全能力提升计划(BP.20.17);

3) 应对数据安全战略规划进行评估，确保数据安全总体策略、安全目标和战略规划内容的合 规性(BP.20.18)。

1) 应建立数据安全规划动态调整机制，通过信息化系统执行对数据安全规划的动态管理 (BP.20.21);

2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.20.22)。

a) 未在任何业务中设立固定的数据安全管理人员，仅根据临时需求或基于个人经验，由个别人员 临时承担了业务的数据安全工作(BP.21.01);

b) 未在任何业务建立成熟稳定的人力资源安全管理，仅根据临时需求或基于个人经验考虑过内 部人员或第三方人员的数据安全管理(BP.21.02)。

1) 应由业务团队相关人员负责人力资源管理中安全要求(BP.21.03);

2) 核心业务应具有数据安全职能部门或岗位，以实现对关键业务环节数据安全风险的有效管理(BP.21.04)。

1) 核心业务应明确针对数据安全违规的纪律处理制度(BP.21.05);

2) 核心业务应对重要岗位候选者从法律法规、行业道德准则等层面执行背景调查(BP.21.06);

3) 核心业务应明确数据安全职能部门或岗位的制度，明确数据安全相关岗位和职责(BP.21.07);

4) 核心业务应明确数据安全培训计划，并按计划对相关人员开展数据安全培训(BP.21.08);

5) 应与所有涉及数据服务的人员签订安全责任协议和保密协议(BP.21.09)。

1) 人力资源部门与数据安全部门的人员应能够进行有效配合(BP.21.11);

2) 组织应建立组织层面专职的数据安全职能部门和岗位并在职能岗位设计时考虑了职责分 离的原则(BP.21.12);

3) 应建立组织层面的数据安全领导小组，指定机构最高管理者或授权代表担任小组组长，并 明确了组长的责任与权力(BP.21.13);

4) 应建立组织内部的监督管理职能部门，负责对组织内部的数据操作行为进行安全监督 (BP.21.14);

5) 应指定大数据系统的安全规划、安全建设、安全运营和系统维护工作的责任部门(BP.21.15);

6) 组织应明确在组织层面人力资源管理中承担数据安全要求制定和执行的人员或岗位，并 与数据安全人员进行有效配合(BP.21.16);

7) 应明确组织层面承担人员数据安全培训管理职责的岗位和人员，负责对数据安全培训需求的分析及落地方案的制定和推进(BP.21.17)。

1) 应明确数据安全部门或岗位的要求，明确其工作职责，以及职能部门之间的协作关系和配 合机制(BP.21.18);

2) 应明确数据安全追责机制，定期对责任部门和安全岗位组织安全检查，形成检查报 (BP.21.19);

3) 应明确数据服务人力资源安全策略，明确不同岗位人员在数据生存周期各阶段相关的工 作范畴和安全管控措施(BP.21.20);

4) 应明确组织层面的数据服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理 制度，将数据安全相关的要求固化到人力资源管理流程中(BP.21.21);

5) 在录用重要岗位人员前应对其进行背景调查，符合相关的法律、法规、合同要求，对数据安 全员工候选者的背景调查中也包含了对候选者的安全专业能力的调查(BP.21.22);

6) 应明确数据服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求(BP.21.23);

7) 应明确针对合作方的安全管理制度，对接触个人信息、重要数据等数据的人员进行审批和 登记，并要求签署保密协议，定期对这些人员行为进行安全审查(BP.21.24);

8) 在重要岗位人员调离或终止劳动合同前，应与其签订保密协议或竞业协议(BP.21.25);

9) 应明确组织内部员工的数据安全培训计划，按计划定期对员工开展数据安全培训 (BP.21.26);

10) 应明确重要岗位人员的数据安全培训计划，并在重要岗位转岗、岗位升级等环节对相关人员开展培训(BP.21.27)。

1) 应通过技术工具自动化实现了数据安全相关的人力资源管理流程(BP.21.28);

2) 应及时终止或变更离岗和转岗员工的数据操作权限，并及时将人员的变更通知到相关方 (BP.21.29);

3) 员工入职时应按最少够用原则分配初始权限(BP.21.30);

4) 应以公开信息且可查询的形式，面向组织全员公布数据安全职能部门的组织架构(BP.21.31)。

1) 负责组织和人员管理的人员应充分理解人力资源管理流程中可对安全风险进行把控的环 节(BP.21.32);

2) 应开展针对员工入职过程中的数据安全教育，通过培训、考试等手段提升其整体的数据安 全意识水平(BP.21.33);

3) 负责设置数据安全职能的人员应能够明确组织的数据安全工作目标(BP.21.34)。

1) 组织应建立数据安全领导小组，指定机构最高管理者或授权代表担任小组组长，并明确组 长责任与权力(BP.21.35);

2) 应建立覆盖各业务部门的体系化的数据安全管理部门，且配备必要的管理人员和技术人 员(BP.21.36);

3) 应对数据安全职能的运行效果以量化指标的形式进行定期衡量，并根据量化结果优化调 整数据职能岗位的设置(BP.21.37);

4) 应定期评估在当前组织职能架构下，数据安全职能岗位与业务职能岗位之间的关系是否平衡，是否能够保证安全需求在业务中的推广(BP.21.38)。

1) 应明确重要岗位人员安全能力要求，并确定其培训技能考核内容与考核指标，定期对重要 岗位人员进行审查和能力考核(BP.21.39);

2) 应定期对数据安全培训计划审核更新(BP.21.40)。

1) 应明确组织所有的外部合规要求并形成清单，能够定期通过跟进监管机构合规要求的动 态对该清单进行更新，同时将其拆分发送给相关方以进行宣贯(BP.22.06);

2) 应依据个人信息保护相关法律法规和标准等的要求，制定组织统一的个人信息保护制度， 建立符合国家法律法规和相关标准的个人信息保护能力(BP.22.07);

3) 应依据相关法律法规及相关标准中对重要数据的保护要求，建立组织统一的重要数据全 生存周期保护的制度和管控措施(BP.22.08);

4) 应依据相关法律法规和相关标准中对数据跨境传输的安全要求，明确组织统一的数据跨 境安全制度和管控措施(BP.22.09);

5) 应针对组织内部因业务架构、组织职能变更而引发的重要数据流向变化建立了有效的变 更管控机制，以控制重要数据流向变化时可能引发的合规风险(BP.22.10);

6) 应定期对重要数据安全策略、规范、制度和管控措施进行风险评估，并及时响应(BP.22.11)。

1) 应建立数据安全合规资料库，相关人员可以通过该资料库查询合规要求(BP.22.12);

2) 应采取必要的技术手段和控制措施实现个人信息安全保护，例如在个人信息处理过程中 进行匿名化、去标识化(BP.22.13);

3) 应建立重要数据监控机制，防范重要数据安全事件(BP.22.14)。

1) 应基于组织内部各类业务所涉及的在个人信息保护、重要数据保护、跨境数据传输等方面 的合规风险，在组织整体的数据安全制度中明确了针对个人信息保护、重要数据保护、跨 境数据传输等方面的指导细则(BP.22.16);

2) 应定期或在发生重大信息安全事件后，能够对个人信息保护、重要数据保护、数据跨境传 输方面的制度流程进行审核和检验，并将所记录的审核检验结果提交组织最高的数据安 全管理组织进行审批(BP.22.17);

3) 在数据应用及关联业务组件下线以及设备退网时，应妥善转存、销毁保存的个人信息，避 免因人员岗位调整或机构业务重组与兼并等原因而规避个人信息保护要求(BP.22.18)。

1) 应量化组织整体的合规情况，并将合规结果通过图形化方式上报给管理层，以保证管理层 对组织整体的合规情况得到有效了解(BP.22.19);

2) 应基于针对个人信息保护、重要数据保护、数据跨境传输的风险进行监控的技术工具，定 期审核相关操作记录(BP.22.20);

3) 应建立针对多源数据集汇聚和关联后个人信息利用的安全风险分析和保护控制措施 (BP.22.21)。

1) 应关注行业内个人信息保护、重要数据保护、数据跨境传输等方面的技术动态，能够根据 合规要求以及组织业务战略的变化，及时更新个人信息保护、重要数据保护、数据跨境传 输的整体解决方案(BP.22.24);

2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.22.25)。

1) 核心业务应制定数据资产登记制度，建立数据资产清单，明确数据资产管理的相关方 (BP.23.03);

2) 对于密钥类数据资产，应明确密钥管理安全要求，至少应涵盖密钥生成、备份、存储、使用、 分发、更新、销毁等相关的流程和要求(BP.23.04)。

1) 应在组织层面建立数据资产安全管理制度，定义数据资产的相关角色定位和职责(BP.23.07);

2) 应明确数据资产登记机制，明确数据资产管理范围和属性，确保组织内部重要的数据资产 已有明确的管理者或责任部门(BP.23.08);

3) 应明确数据资产变更管理要求和变更审批机制，例如数据资产内容、分类、分级、标识、管理者等变更(BP.23.09)。

1) 应通过技术工具执行数据资产的登记，实现对数据资产的自动属性标识(BP.23.10);

2) 应建立便于索引和查询的数据资产清单，并能够及时更新数据资产相关信息(BP.23.11);

3) 应具有密钥管理系统，实现对密钥的全生存周期(生成、存储、使用、分发、更新、销毁等)的 安全管理(BP.23.12)。

1) 应建立组织统一的数据资产管理系统，通过技术工具实现对数据资产的统一管理，明确数 据资产标识和数据资产相关管理方的属性标识(BP.23.15);

2) 应通过数据资产管理系统量化组织内部数据资产的整体情况，包括但不限于数据资产的 数据量、各等级数据资产的分布情况等，从而便于数据资产管理人员进行组织整体数据资 产现状的统计(BP.23.16);

3) 应能够量化评估组织内部数据资产相关管理者在相关数据安全流程中的参与情况，并能 够根据评估结果调整管理者的职责(BP.23.17)。

1) 应明确数据供应链安全管理规范，定义数据供应链安全目标、原则和范围，明确数据供应链 的责任部门和人员、数据供应链上下游的责任和义务以及组织内部的审核原则(BP.24.06);

2) 组织应通过合作协议方式明确数据链中数据的使用目的、供应方式、保密约定、安全责任 义务等(BP.24.07);

3) 应明确针对数据供应商的数据安全能力评估规范，根据该规范对数据供应商的数据安全 能力进行评估，并将评估结果应用于供应商选择、供应商审核等供应商管理过程中 (BP.24.08)。

1) 应通过技术工具量化组织整体的数据供应链情况，对组织上下游的数据供应需求、对象和 方式进行分类整理，能够及时发现并跟进数据供应链管理过程中的潜在风险(BP.24.12);

2) 应对数据供应链上下游的数据服务提供者和数据使用者的行为进行合规性审核和分析 (BP.24.13);

3) 应基于数据供应链的相关记录，利用技术工具对数据供应链上下游的相关方开展安全审 核和分析(BP.24.14)。

1) 应明确数据服务元数据语义统一格式和管理规则，如数据格式、数据域、字段类型、表结 构、逻辑存储和物理存储结构及管理方式(BP.25.05);

2) 应明确数据安全元数据管理要求，如口令策略、权限列表、授权策略(BP.25.06)。

1) 元数据管理工具应支持数据表的导航和搜索，提供表血缘关系、字段信息、使用说明、其他 关联信息，方便用户使用数据表(BP.25.07);

2) 应建立元数据访问控制策略和审计机制，确保元数据操作的追溯(BP.25.08)。

1) 应具备实现元数据统一管理的能力，如建立组织统一的元数据管理系统，将各业务的元数 据通过集中的系统面向组织内部提供(BP.25.11);

2) 应基于元数据管理建立可视化的功能，在元数据管理系统上以数据标签形式实现对数据 的存储、访问、所属业务等信息的有效管理(BP.25.12);

3) 应在元数据管理系统上建立数据上下游关系链路，实现对字段级、表级、应用级的数据上 下游关系的量化管理(BP.25.13)。

a) 应基于组织数据规模的发展，提升元数据管理的技术并扩大其覆盖范围，提升组织内数据的使 用效率(BP.25.14);

b) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.25.15)。

1) 应为进入内部网络环境的终端设备分配了终端识别号，并实现计算机终端设备与用户账 号的一对一绑定(BP.26.03);

2) 核心业务员工的终端设备均应实现员工和终端设备的绑定，并为终端设备安装了统一的 防病毒软件(BP.26.04)。

1) 打印输出设备应采用身份鉴别、访问控制等手段进行安全管控，并对用户账户在此终端设 备上的数据操作进行日志记录(BP.26.07);

2) 组织内入网的终端设备均应按统一的要求部署防护工具，如防病毒、硬盘加密、终端入侵 检测等软件，并定期进行软件的更新，并将终端设备纳入组织整体的访问控制体系中 (BP.26.08);

3) 组织应部署终端数据防泄漏方案，通过技术工具对终端设备上数据以及数据的操作进行 风险监控(BP.26.09);

4) 应提供整体的终端安全解决方案，实现终端设备与组织内部员工的有效绑定，按统一的部 署标准在终端设备系统上安装各类防控软件(如防病毒、硬盘加密、终端入侵检测等软件)(BP.26.10)。

a) 应基于组织内部终端环境的变化，利用新的技术实现对多终端环境的数据防泄漏保护(BP.26.14); b) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.26.15)。

1) 应明确对组织内部各类数据访问和操作的日志记录要求、安全监控要求和审计要求 (BP.27.05);

2) 应记录数据操作事件，并制定数据安全风险行为识别和评估规则(BP.27.06); 3) 应定期对组织内部员工数据操作行为进行人工审计(BP.27.07)。

1) 应采用自动和人工审计相结合的方法或手段对数据的高风险操作进行监控(BP.27.08);

2) 应建立针对数据访问和操作的日志监控技术工具，实现对数据异常访问和操作进行告警， 高敏感数据以及特权账户对数据的访问和操作都纳入重点的监控范围(BP.27.09);

3) 应部署必要的数据防泄漏实时监控技术手段，监控及报告个人信息、重要数据等的外发行 为(BP.27.10);

4) 应采用技术工具对数据交换服务流量数据进行安全监控和分析(BP.27.11)。

1) 应建立统一的数据访问和操作的日志监控技术工具，该技术工具可对各类数据访问和操 作的日志进行统一的处理和分析，并量化数据访问和操作引发的数据安全风险，实现对数 据安全风险的整体感知(BP.27.13);

2) 应记录数据交换服务接口调用事件信息，监控是否存在恶意数据获取、数据盗用等风险 (BP.27.14);

3) 应具备对数据的异常或高风险操作进行自动识别和实时预警的能力(BP.27.15)。

a) 应利用数据分析的技术改进日志监控技术工具，提升对安全风险事件发现的精确度和效率 (BP.27.17);

b) 应持续提升数据安全风险控制能力，不断完善改进数据安全风险识别规则和模型(BP.27.18); c) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.27.19)。

1) 核心业务系统应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有 复杂度要求并定期更换(BP.28.04);

2) 核心业务系统应提供访问控制功能，对登录的用户分配账户和权限(BP.28.05);

3) 核心业务系统应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施 (BP.28.06)。

1) 应明确组织的身份鉴别、访问控制与权限管理要求，明确对身份标识与鉴别、访问控制及 权限的分配、变更、撤销等权限管理的要求(BP.28.08);

2) 应按最少够用、职权分离等原则，授予不同账户为完成各自承担任务所需的最小权限，并 在它们之间形成相互制约的关系(BP.28.09);

3) 应明确数据权限授权审批流程，对数据权限申请和变更进行审核(BP.28.10);

4) 应定期审核数据访问权限，及时删除或停用多余的、过期的账户和角色，避免共享账户和 角色权限冲突的存在(BP.28.11);

5) 应对外包人员和实习生的数据访问权限进行严格控制(BP.28.12)。

1) 应建立组织统一的身份鉴别管理系统，支持组织主要应用接入，实现对人员访问数据资源 的统一身份鉴别(BP.28.13);

2) 应建立组织统一的权限管理系统，支持组织主要应用接入，对人员访问数据资源进行访问 控制和权限管理(BP.28.14);

3) 应采用技术手段实现身份鉴别和权限管理的联动控制(BP.28.15);

4) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴 别，且其中一种鉴别技术至少应使用密码技术来实现(BP.28.16);

5) 访问控制的粒度应达到主体为用户级，客体为系统、文件、数据库表级或字段(BP.28.17)。

1) 应建立面向数据应用的访问控制机制，包括访问控制时效的管理和验证，以及数据应用接 入的合法性和安全性取证机制(BP.28.20);

2) 应建立人力资源管理与身份鉴别管理、权限管理的联动控制，及时删除离岗、转岗人员的 权限(BP.28.21);

3) 应采用技术手段对系统或应用访问敏感数据进行访问控制(BP.28.22)。

a) 应建立针对数据生存周期各阶段的数据安全主动防御机制或措施，如基于用户行为或设备行 为安全控制机制(BP.28.23);

b) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆(BP.28.24)。

1) 应明确数据安全事件管理和应急响应工作指南，定义数据安全事件类型，明确不同类别事 件的处置流程和方法(BP.30.05);

2) 应明确数据安全事件应急预案，定期开展应急演练活动(BP.30.06);

3) 组织的数据安全事件应急响应机制，应符合国家有关主管部门的政策文件要求(BP.30.07)。